Nadawanie praw lokalnego administratora poprzez GPO – Active Directory 8


Posiadając własną domenę wraz z active directory przydatnym jest ograniczenie, lub zezwolenie konkretnym użytkownikom na bycie „lokalnymi” administratorami na komputerach.

active-directory-logo

Najłatwiejszym sposobem jest użycie Group Policy i dodanie do lokalnej grupy administratorów na każdym komputerze stworzonej przez nas specjalnej grupy.

1. Na kontrolerze domeny w ADUC tworzymy nową grupę Security (nie dodajemy żadnych członków):

admins-AD01

2. Uruchamiamy Group Policy Management, oddnajdujemy i edytujemy domyślną Policy dla naszego OU którego podrzednym OU jest to zawierające nasze obiekty komputerów, w prostej domenie jak moja będzie to domyślne policy dla mojej domeny (Default Domain Policy).

3. W oknie edycji nawigujemy kolejno poprzez Computer Configuration > Policies > Windows Settings > Security Settings > Restricted Groups

admins-AD02

3. Klikamy prawym i wybieramy Add Group i wskazujemy nasza stworzoną grupę Lokalni Administratorzy, po zatwierdzeniu otworzy nam się poniższe okno:

admins-AD03

4. Aby nie nadpisać (wyczyścić) dotychczasowych zmian w grupie lokalnych administratorów na komputerach w domenie należy użyć dolnego ADD przy „This group is a member of”. Jeśli użyjemy górnej opcji to nadpiszemy wszystkie dotychczas wprowadzone zmiany na komputerach oraz domyślnych członków (takich jak Domain Administrators).

5. Klikamy dolne Add i dodaj wartość Administrators:

admins-AD04

6. Zapisz wszystkie zmiany i po ponownym logowaniu / odświeżeniu GPO poleceniem gpoupdate /force na komputerze zmiany będą widoczne w lokalnych grupach na komputerze.

Gotowe 🙂

 

Linkografia:

https://wiki.samba.org/index.php/Managing_local_groups_on_domain_members_via_GPO_restricted_groups


Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

8 komentarzy do “Nadawanie praw lokalnego administratora poprzez GPO – Active Directory